攻防世界 echo-server writeup

最新推荐文章于 2022-12-01 16:52:57 发布
最新推荐文章于 2022-12-01 16:52:57 发布
阅读量396 收藏 1
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45225566/article/details/112321692
版权

攻防世界 echo-server writeup

一. 知识点

(1)花指令

0x01 概念
花指令是,由设计者特别构思,希望使反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向。经典的是,目标位置是另一条指令的中间,这样在反汇编的时候便会出现混乱。花指令有可能利用各种指令:jmp, call, ret的一些堆栈技巧,位置运算,等等。

0x02 常见花指令
在这里插入图片描述

0x03 如何去除花指令
第一步:

  • 识别哪些是有用的数据,哪些是垃圾数据。

第二步:

  • 把垃圾数据用nop(0x90h)填充。

(2)IDA出现"sp-analysis failed"

IDA官网解释:
在这里插入图片描述

大意是ida检测到,IDA有栈跟踪的功能,它在函数内部遇到ret(retn)指令时会做判断:栈指针的值在函数的开头/结尾是否一致,如果不一致就会在函数的结尾标注"sp-analysis failed" 。一般编程中,不同的函数调用约定(如stdcall&_cdcel call)可能会出现这种情况;另外,为了实现代码保护而加入代码混淆(特指用push/push+ret实现函数调用)技术也会出现这种情况。

二. 解题步骤

(1)拖进IDA反编译,查看伪代码,可以看到这里的函数调用很奇怪

在这里插入图片描述

(2)跟去这个函数,发现汇编代码很乱,有花指令插入
程序本应该跳转到loc_80487C1+3处,但这里并没有显示出来,由此判断程序被混淆,混入了花指令,需要去除花指令。

在这里插入图片描述

(3)将汇编代码转换成数据,发现0x80487C1处的字节是0xE8.

在这里插入图片描述

(4)使用IDA把它patch为0x90,转换为代码,汇编代码显示正常

在这里插入图片描述

(5)在上图中可以看到,0x080487F3处汇编代码也存在花指令,转换成数据后出现0xEB,也常被用于混淆

在这里插入图片描述

(6)将0xEBpatch为0x90,汇编代码恢复为nop,但下方又出现一出标红。但是标红代码的上两行代码是无条件跳转指令,所以没有影响。

在这里插入图片描述

(7)继续向下运行,eax被赋值为5,然后跳进loc_80488A3,进去后发现每次eax会减一,因此这是个循环,读输入的前5个字符

在这里插入图片描述

(8)回去将下面的标红代码改为nop,发现如果0x0804884F行不执行,函数就会陷入死循环。
xor eax, eax的结果一直为0,jz结果为0时跳转

在这里插入图片描述

(9)eax的值是根据dword_804A088的值来决定,按x查看交叉引用,看下dword_804A088这个地址的值是哪来的

在这里插入图片描述

(10)只有一个地方,跟过去看下,发现dword_804A088这个地址的值是在main函数中硬编码的1

在这里插入图片描述

(11)由此可知eax的值为1,需要把jz指令patch为jmp
test逻辑与运算结果为零,就把ZF(零标志)置1;
test eax,eax
当eax=0时,置z标志位为1,jz 跳转,jnz 不跳转
当eax=1时,置z标志位为0,jz 不跳转,jnz 跳转

在这里插入图片描述

(12)F5生成伪代码,可以看出就是比较输入的字符串的前五个字符与loc_8048816+1处是否相同

在这里插入图片描述

(13)回去发现是我们第(6)步没有管的花指令,按D转化成数据,发现是在代码段里存了一段数据。这里不要直接改机器码,改了之后会发现找不到字符串地址。

在这里插入图片描述

(14)点击编辑->修补文件->修补程序应用到输入文件,一定要保存!!!不然前面白干了。然后运行程序,输入字符串“F1@gA”,得到flag。

在这里插入图片描述

(15)运行报错解决
如果报错 libcrypto.so.1.0.0: cannot open shared object file: No such file or directory 是因为没有 libcrypto.so.1.0.0,我的系统有 64 位 libcrypto.so.1.0.0 但是没有 32 位的,因此需要安装 32 位的共享库。libssl 中带了 libcrypto。
命令行输入下面的指令即可
sudo apt-get install libssl1.0.0:i386
不过有的虚拟机可以,有的不行。我在kali输完还是不能运行,搞了一个多小时,试了网上各种方法都没用,换了个乌班图虚拟机这样就行了。有懂的童鞋可以告诉一下我。

是周周不是粥粥
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
攻防世界 supersqli writeup
12-14
进入题目查看源码,提到sqlmap那就扫一扫 发现有注入,注入点为injiect=2’,接下来–dbs尝试查询数据库,只爆出supersqli,但无法爆出表。 回到题目 order by 判断只有两个字段(别人的writerup说–+被过滤,只能使用#,不知道为什么没有,最后发现是在查询框里过滤了,在url框里没有) 在使用union select时发现过滤关键字 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20200313161718411.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd
2019.4 DDCTF web题--滴 writeup
04-14
DDCTF,2019年4月比赛,web题,第一题--滴 writeup,及flag。
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
leetcode不会-LC-Writeup:LC-Writeup
06-30
leetcode 不会LC-Writeup 问题:未交叉的线, 方法:自顶向下的动态规划 直觉: 让A和B成为我们的两个整数数组。 假设我们想在子数组A[0...i]和B[0...j] (包括两端)中找到最大数量的未交叉线。 如果子数组共享相同的最后一位数字( A[i] == B[j] ),则存在连接A[i]和B[j] 。 由于A[i]和B[j]属于子阵列的末端,连接它们的这条线不会与任何其他线相交。 因此,我们可以画这条线并查看剩余的子数组A[0...i-1]和B[0...j-1] 。 否则,子数组具有不同的最后一位数字 ( A[i] != B[j] )。 那么子阵列的至少一个末端不属于一条线(如果它们都有线,它们就会相交)。 这促使我们查看其中一个末端被移除的子数组( A[0...i-1], B[0...j]或A[0...i], B[0...j-1] )。 然后,答案等于生成最多未交叉线的任何一对子阵列。 算法: 让rec(i,j)成为计算子数组A[0...i]和B[0...j]中未交叉线的最大数量的函数。 基本情况:当一个或多个子数组为空时(如果i == -1或j == -1 ,
指令清除工具
01-13
呵呵 自己在网上搜集的这个 软件是在破解之前 查出指令 将他清除
inc si指令的作用_LLVM中的指令映射
weixin_39559079的博客
11-20 377
原创内容,转载请注明出处。作者:汪岩1. 什么是指令映射本文介绍LLVM中的指令映射机制,以及AMDGPU backend如何为目标平台实现指令映射。本文中的指令映射不是指令选择过程中将IR指令匹配到td文件定义的机器指令,那应该称为指令匹配,匹配操作的中间媒介是MatcherTable。本文介绍的指令映射其目的是为了支持在不同的优化中切换不同指令格式,例如支持硬件架构演进过程中不同版本的ISA,...
攻防世界_echo-server
呱呱呱
12-01 211
攻防世界_echo-server,通过去除指令,找到密钥,得到flag
XCTF-攻防世界CTF平台-Reverse逆向类——54、echo-server(Linux32位ELF文件、指令混淆反汇编)
Onlyone_1314的博客
10-30 878
目录标题第一个指令混淆080487C1:第二个指令混淆080487F3:第三个指令混淆08048816:第四个指令混淆08048859:修改程序跳转逻辑方法1:方法2:题外话:   下载附件,查看信息:   是Linux下的32位ELF文件,运行程序:   发现是一个输入字符串,将字符串中的每个字符转换成对应的ASCII码输出的程序   用IDA打开,先查看字符串窗口:   有一些用到的字符串:   “Echo Server 0.3 ALPHA”这个在我们上面运行程序的时候见过了:   就
基恩士plc编程指令大全_西门子PLC编程基本字逻辑指令‘与、或、异或’(科普篇)...
weixin_39801465的博客
11-25 3563
引言字基本逻辑指令前世今生:汇编作为较为底层的编程语言,其最直观的操作寄存器使得它的执行效率非常的高,因此,汇编中会大量设置到逻辑操作,与(AND),或(OR),非(NOT)和异或(XOR),这几个指令,除了NOT外,都是双目操作,而NOT操作属于单目操作,通常完成一些对指定位的数据的赋值或者置零操作。PLC编程里面也常会用到这几个指令一、指令简介1.1 AND:“与”运算可以使用“与”运算指令将...
字符串 异或运算_计算机科学研究者陶贤斌站在巨人的肩膀上总结JavaScript运算符...
weixin_30533943的博客
12-06 418
10.1 算术运算符“+” 功能 对数字进行代数求和;对字符串进行连接操作;“-” 功能 对数字进行减法操作;对操作数进行“取反”操作;“*” 功能 对数字进行乘法操作;符号问题 同号得正,异号得负;“/” 功能 对数字进行除法操作;符号问题 同号得正,异号得负;“%” 功能 返回两个除数的余数;符号问题 和第一个运算数的符号相同;10.2 自增与自减功能相反++ 对唯一的运算数进行递增操作(每次...
XCTF echo-server
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-05 1195
此题是XCTF 3rd-NJCTF-2017的题目 今天做攻防世界的逆向题目的时候遇到了,就在此写下解题过程 在此附上题目下载地址 echo-serverr 1.查壳 使用ExeinfoPe工具查壳,可以发现是32位程序,没有壳 2.使用IDA进行反编译 使用32位的IDA打开程序 3.分析程序 题目提示"输入密钥,得到flag." 定位到main函数,并使用F5大法查看伪代码 这个程序的ma...
加密解密 异或运算
m0_68117776的博客
04-01 901
加密 解密 异或运算
攻防世界逆向高手题之echo-server
沐一 · 林 的博客
10-25 642
攻防世界逆向高手题之echo-server 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的handcrafted-pyc . . 下载附件,照例扔入exeinfope中查看信息: . . 32位ELF文件无壳,照例运行下一程序,查看主要回显信息。但是如上图一样,我的是Kali,所以有报错libcrypto.so.1.0.0缺失,但是我没有ubuntu,所以我只能结合别人的资料静态直接分析了: . . 照例扔入32位IDA中分析伪代码,有main函数看main函数: 因为前面修改后调
字符串 异或运算_运算符
weixin_39905816的博客
12-24 4704
这是『就要学习 Go 语言』系列的第 7 篇分享文章今天,我们来讲下Go语言的算术运算符、比较运算符和逻辑运算符。算术运算符+ sum integers, floats, complex values (复数), strings - difference integers, floats, complex values * ...
西门子逻辑运算指令_SIEMENS PLC基本指令功能都代表什么?
weixin_32496175的博客
12-09 1352
德国SIEMENS公司生产的可编程序控制器在我国的应用十分广泛,那么SIEMENS PLC基本指令都代表什么?下面我们一起来看一下。一、标准触点 LD、A、O、LDN、AN、ON、 LD,取指令。表示一个与输入母线相连的常开接点指令,即常开接点逻辑运算起始。LDN,取反指令。表示一个与输入母线相连的常闭接点指令,即常闭接点逻辑运算起始。A,与指令。用于单个常开接点的串联。AN,与非指令。用于单个常...
异或运算加密字符串(java)
LX__Mr的博客
01-14 3072
要求:将输入的一串字符的每个字符ASCII码和0xFF做异或运算,然后输出; 再编程将异或加密的字符串还原为原文。 对于一些字符串,如果不想信息泄露的话,比较常用的一种方法就是对原字符串进行异或运算,再输出转换后的字符串,以达到一个加密效果。 加密思路: ①首先将字符串中的每个字符都转换成对应的ASCII码值。 ②把ASCII码值的十进制转成对应的二进制数。 ③用一个新的字符与原字符串的每一个字符作二进制的异或运算。 ④再将加密之后的二进制转换为对应的十进制。 ⑤把每一个十进制数转化成对应的字符再输出。 代
西门子逻辑运算指令_西门子plc位逻辑运算指令
weixin_39831170的博客
01-14 2889
位逻辑运算指令是“与”(AND)、“或”(OR)、“异或”(XOR)指令及其组合。它对“0”或“1”这些布尔操作数进行扫描,经逻辑运算后将逻辑操作结果送入状态字的RLO位。1)“与”(A)和“与非”(AN)指令逻辑“与”在梯形图中是用串联的触点回路表示的,被扫描的操作数则表示为触点符号,操作数标在触点上方。如果触点是常开触点(动合触点),则对“1”扫描相应操作数。在PLC中规定:若操作数是“1”,...
字符串 异或运算_Lua运算「DaemonCoder」
weixin_36204626的博客
12-23 2923
算术运算除了加、减、乘、除等常见的运算之外,Lua还支持取整除法、取模和指数运算。print(-1 + 3) -- 3print(0.1 + 0.2 == 0.3) -- false 和C语言类似浮点运算不精确,相等判断会有问题print(1 - 2) -- -1print(2 * 3) -- 6print(5 / 2) -- 2.5print(5 // 2) -- 2 Lua5.3引入print...
攻防世界shuffle
最新发布
09-03
攻防世界Shuffle是一个在攻防世界平台上的题目,属于Reverse(逆向工程)类别的进阶区的题目。该题目的具体来源是SECCON-CTF-2014比赛。题目要求参与者找到一个字符串在随机化之前的顺序。关于该题目的详细解法可以在提供的博客链接中找到。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [攻防世界 Shuffle](https://blog.csdn.net/afanzcf/article/details/119462993)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [攻防世界Wire1杂项](https://download.csdn.net/download/m0_59188912/87097386)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [攻防世界Reverse进阶区-Shuffle-writeup](https://blog.csdn.net/qq_35056292/article/details/108676766)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值